Sentenza del 9 novembre 2010 (Grande Sezione), Volker und Markus Schecke e Eifert (C-92/09 e C-93/09, EU:C:2010:662) 11
In tale causa i procedimenti principali avevano ad oggetto controversie tra alcuni agricoltori e il Land Hessen, in merito alla pubblicazione sul sito Internet della Bundesanstalt für Landwirtschaft und Ernährung (Ufficio federale per l’agricoltura e l’alimentazione) dei dati personali che li riguardavano in quanto beneficiari di finanziamenti provenienti dal Fondo europeo agricolo di garanzia (FEAGA) e dal Fondo europeo agricolo per lo sviluppo rurale (FEASR). Detti agricoltori si opponevano a tale pubblicazione sostenendo, in particolare, che essa non era giustificata da un interesse pubblico prevalente. Il Land Hessen, per parte sua, considerava che la pubblicazione di detti dati discendeva dai regolamenti (CE) nn. 1290/2005 12 e 259/2008 13, che disciplinano il finanziamento della politica agricola comune e impongono la pubblicazione di informazioni sulle persone fisiche beneficiarie del FEAGA e del FEASR.
In tale contesto il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) ha sottoposto alla Corte varie questioni vertenti sulla validità di talune disposizioni del regolamento n. 1290/2005 e sulla validità del regolamento n. 259/2008, i quali impongono la messa a disposizione del pubblico di siffatte informazioni, in particolare mediante siti Internet gestiti dagli uffici nazionali.
La Corte ha rilevato, riguardo all’adeguamento del diritto alla protezione dei dati di carattere personale riconosciuto dalla Carta e all’obbligo di trasparenza in materia di fondi europei, che la pubblicazione su un sito Internet dei dati nominativi relativi ai beneficiari dei finanziamenti e agli importi da questi percepiti costituisce, in ragione del libero accesso al sito da parte dei terzi, una lesione del diritto dei beneficiari interessati al rispetto della loro vita privata, in generale, e alla protezione dei loro dati personali, in particolare (punti da 56 a 64).
Per essere giustificata, una simile lesione dev’essere prevista dalla legge, deve rispettare il contenuto essenziale di detti diritti e, in applicazione del principio di proporzionalità, dev’essere necessaria e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione, considerato il fatto che le deroghe e le limitazioni a tali diritti devono operare entro i limiti dello stretto necessario (punto 65). In tale contesto, la Corte ha considerato che, sebbene in una
11 Detta sentenza è stata presentata nella Relazione annuale 2010, pag. 11.
12 Regolamento (CE) n. 1290/2005 del Consiglio, del 21 giugno 2005, relativo al finanziamento della politica agricola comune (GU 2005, L 209, pag. 1), abrogato dal regolamento (UE) n. 1306/2013 del Parlamento europeo e del Consiglio, del 17 dicembre 2013, sul finanziamento, sulla gestione e sul monitoraggio della politica agricola comune (GU 2013, L 347, pag. 549).
13 Regolamento (CE) n. 259/2008 della Commissione, del 18 marzo 2008, recante modalità di applicazione del regolamento (CE) n. 1290/2005 del Consiglio per quanto riguarda la pubblicazione di informazioni sui beneficiari di finanziamenti provenienti dal FEAGA e dal FEASR (GU 2008, L 76, pag. 28), abrogato dal regolamento di esecuzione (UE) n. 908/2014 della Commissione, del 6 agosto 2014, recante modalità di applicazione del regolamento (UE) n. 1306/2013 del Parlamento europeo e del Consiglio per quanto riguarda gli organismi pagatori e altri organismi, la gestione finanziaria, la liquidazione dei conti, le norme sui controlli, le cauzioni e la trasparenza (GU 2014, L 255, pag. 59).
società democratica i contribuenti abbiano diritto ad essere informati sull’impiego delle finanze pubbliche, nondimeno il Consiglio e la Commissione erano tenuti ad effettuare un contemperamento equilibrato dei differenti interessi in causa, il che avrebbe richiesto che, prima dell’adozione delle disposizioni contestate, si verificasse se la pubblicazione di tali dati attraverso un sito Internet unico da parte dello Stato membro non andasse oltre quanto era necessario per la realizzazione degli obiettivi legittimi perseguiti (punti 77, 79, 85 e 86).
Pertanto, la Corte ha dichiarato invalide talune disposizioni del regolamento n. 1290/2005, nonché il regolamento n. 259/2008 nel suo complesso, nella parte in cui, con riguardo a persone fisiche beneficiarie di aiuti del FEAGA e del FEASR, tali disposizioni impongono la pubblicazione di dati personali relativi ad ogni beneficiario, senza operare distinzioni sulla base di criteri pertinenti come i periodi durante i quali esse hanno percepito simili aiuti, la frequenza o ancora il tipo e l’entità di questi ultimi (punto 92 e disp. 1). Tuttavia, la Corte non ha rimesso in discussione gli effetti della pubblicazione degli elenchi dei beneficiari di siffatti aiuti effettuata dalle autorità nazionali durante il periodo precedente la data di pronuncia della sentenza (punto 94 e disp. 2).
Sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670)
Il sig. Schwarz aveva chiesto il rilascio di un passaporto presso la città di Bochum (Germania), pur rifiutando, in tale occasione, che venissero rilevate le sue impronte digitali. Poiché la città aveva respinto la sua domanda, il sig. Schwarz aveva proposto ricorso dinanzi al Verwaltungsgericht Gelsenkirchen (Tribunale amministrativo di Gelsenkirchen, Germania) perché fosse ingiunto a tale comune di rilasciargli il passaporto senza rilevare le sue impronte digitali. Dinanzi a tale giudice, il sig. Schwarz contestava la validità del regolamento (CE) n. 2252/2004 14 che ha introdotto l’obbligo del rilevamento delle impronte digitali per chi richiede il passaporto, sostenendo, tra l’altro, che tale regolamento violava il diritto alla tutela dei dati personali e il diritto al rispetto della vita privata.
In tale contesto, il Verwaltungsgericht Gelsenkirchen ha adito la Corte in via pregiudiziale al fine di sapere se detto regolamento, nella parte in cui obbliga il richiedente un passaporto a fornire le proprie impronte digitali e prevede la loro conservazione nel passaporto, fosse valido, in particolare alla luce della Carta.
La Corte ha risposto in senso affermativo, dichiarando che, sebbene il prelievo e la conservazione di impronte digitali da parte delle autorità nazionali, disciplinati dall’articolo 1, paragrafo 2, del regolamento n. 2252/2004, costituiscano una violazione dei diritti al rispetto della vita privata e alla tutela dei dati personali, tale violazione è giustificata dallo scopo di preservare i passaporti da qualsiasi uso fraudolento.
Anzitutto, siffatta limitazione, prevista dalla legge, persegue un obiettivo d’interesse generale riconosciuto dall’Unione, in quanto è volta ad impedire, in particolare, l’ingresso illegale di persone nel territorio dell’Unione (punti da 35 a 38). Inoltre, il prelievo e la conservazione delle
14 Regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (GU 2004, L 385, pag. 1), come modificato dal regolamento (CE) n. 444/2009 del Parlamento europeo e del Consiglio, del 6 maggio 2009 (GU 2009, L 142, pag. 1).
impronte digitali sono idonei a raggiungere tale obiettivo. Infatti, da un lato, benché il metodo di verifica dell’identità mediante impronte digitali non sia del tutto affidabile, esso riduce considerevolmente il rischio di accettazione di persone non autorizzate. Dall’altro lato, la discordanza tra le impronte digitali del detentore del passaporto e i dati integrati in tale documento non significa che la persona interessata si veda automaticamente rifiutare l’ingresso nel territorio dell’Unione, ma avrà soltanto la conseguenza di determinare un controllo approfondito per dimostrare in modo definitivo l’identità di detta persona (punti da 42 a 45).
Infine, riguardo alla necessità di tale trattamento, non è stata portata a conoscenza della Corte l’esistenza di misure sufficientemente efficaci, ma meno pregiudizievoli per i diritti riconosciuti dagli articoli 7 e 8 della Carta di quelle derivanti dal metodo basato sulle impronte digitali (punto 53). L’articolo 1, paragrafo 2, del regolamento n. 2252/2004 non comporta trattamenti delle impronte digitali che eccedano quanto necessario per la realizzazione dell’obiettivo perseguito.
Infatti, detto regolamento precisa espressamente che le impronte digitali possono essere utilizzate soltanto allo scopo di verificare l’autenticità del passaporto e l’identità del suo titolare.
Per di più, l’articolo 1, paragrafo 2, del regolamento garantisce la tutela contro il rischio di lettura dei dati contenenti impronte digitali da parte di persone non autorizzate e prevede la conservazione delle impronte digitali soltanto all’interno del passaporto, il quale permane di esclusivo possesso del suo titolare (punti da 54 a 57, 60 e 63).
Sentenza dell’8 aprile 2014 (Grande Sezione), Digital Rights Ireland e Seitlinger e a. (cause riunite, C-293/12 e C-594/12, EU:C:2014:238) 15
La presente sentenza trova la sua origine in domande di valutazione della validità della direttiva 2006/24/CE riguardante la conservazione di dati, con riferimento ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, sollevate nell’ambito di controversie nazionali dinanzi ai giudici irlandese e austriaco. Nella causa C-293/12, la High Court (Alta Corte, Irlanda) era investita di una controversia tra la società Digital Rights e le autorità irlandesi in merito alla legittimità di misure nazionali riguardanti la conservazione di dati relativi a comunicazioni elettroniche. Nella causa C-594/12, il Verfassungsgerichtshof (Corte costituzionale, Austria) era investito di vari ricorsi in materia costituzionale diretti all’annullamento della disposizione nazionale di recepimento della direttiva 2006/24 nel diritto austriaco.
Con le loro domande di pronuncia pregiudiziale, i giudici irlandese e austriaco hanno interpellato la Corte sulla validità della direttiva 2006/24 alla luce degli articoli 7, 8 e 11 della Carta. Più precisamente, detti giudici hanno chiesto alla Corte se l’obbligo gravante, in forza di detta direttiva, sui fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione elettronica di conservare per un certo periodo dati relativi alla vita privata di una persona e alle sue comunicazioni e di consentirne l’accesso alle autorità nazionali competenti comportasse un’ingerenza ingiustificata in detti diritti fondamentali. I tipi di dati interessati sono, in particolare, i dati necessari per rintracciare e identificare la fonte di una comunicazione e la destinazione della stessa, per stabilire la data, l’ora, la durata e il tipo di una comunicazione, le attrezzature di comunicazione degli utenti nonché per determinare l’ubicazione delle apparecchiature di comunicazione mobile, dati tra i quali figurano,
15 Detta sentenza è stata presentata nella Relazione annuale 2014, pag. 60.
segnatamente, il nome e l’indirizzo dell’abbonato o dell’utente registrato, il numero telefonico chiamante e quello chiamato, nonché un indirizzo IP per i servizi Internet. Tali dati permettono, in particolare, di sapere quale sia la persona con cui un abbonato o un utente registrato ha comunicato e con quale mezzo, così come di stabilire il tempo della comunicazione e il luogo dal quale questa è avvenuta. Inoltre, essi permettono di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente registrato con talune persone nel corso di un determinato periodo.
La Corte ha dichiarato, anzitutto, che le disposizioni della direttiva 2006/24, imponendo siffatti obblighi a tali fornitori, erano costitutive di un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, garantiti dagli articoli 7 e 8 della Carta. Ciò premesso, è vero che la Corte ha rilevato che tale ingerenza poteva essere giustificata dal perseguimento di un obiettivo di interesse generale, come la lotta alla criminalità organizzata. In proposito, la Corte ha rilevato, in primo luogo, che la conservazione dei dati imposta dalla direttiva non era idonea a pregiudicare il contenuto essenziale dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, in quanto non permetteva di venire a conoscenza del contenuto delle comunicazioni elettroniche in quanto tale e prevedeva che i fornitori di servizi o di reti siano tenuti a rispettare taluni principi di protezione e di sicurezza dei dati. In secondo luogo, la Corte ha osservato che la conservazione dei dati in vista della loro eventuale trasmissione alle autorità nazionali competenti rispondeva effettivamente a un obiettivo di interesse generale, ossia la lotta contro la criminalità grave nonché, in ultima analisi, la sicurezza pubblica (punti da 38 a 44).
Tuttavia, la Corte ha considerato che, adottando la direttiva riguardante la conservazione dei dati, il legislatore dell’Unione aveva ecceduto i limiti imposti dal rispetto del principio di proporzionalità. Pertanto, essa ha dichiarato la direttiva invalida considerando che l’ingerenza di vasta portata e di particolare gravità nei diritti fondamentali che essa comportava non era sufficientemente regolamentata al fine di garantire che fosse limitata a quanto strettamente necessario (punto 65). La direttiva 2006/24 riguardava infatti in maniera generale qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi (punti da 57 a 59). La direttiva non prevedeva peraltro alcun criterio oggettivo che permettesse di garantire che le autorità nazionali competenti avessero accesso ai dati e potessero utilizzarli soltanto a fini di prevenzione, di accertamento o di indagini penali riguardanti reati che potessero essere considerati sufficientemente gravi da giustificare siffatta ingerenza, né le condizioni sostanziali e procedurali di un tale accesso o di una tale utilizzazione (punti da 60 a 62). Riguardo infine alla durata di conservazione dei dati, la direttiva imponeva una durata di almeno sei mesi senza che venisse effettuata alcuna distinzione tra le categorie di dati a seconda della loro eventuale utilità ai fini dell’obiettivo perseguito o a seconda delle persone interessate (punti 63 e 64).
Peraltro, per quanto concerne i requisiti derivanti dall’articolo 8, paragrafo 3, della Carta, la Corte ha constatato che la direttiva 2006/24 non prevedeva garanzie sufficienti che permettessero di assicurare una protezione efficace dei dati contro i rischi di abuso nonché contro l’accesso e l’uso illeciti dei dati e non imponeva neppure una conservazione di questi ultimi nel territorio dell’Unione.
Di conseguenza, detta direttiva non garantiva pienamente il controllo del rispetto dei requisiti di protezione e di sicurezza da parte di un’autorità indipendente, come pure esplicitamente richiesto dalla Carta (punti da 66 a 68).